Der konkrete Fall: Teleinfo Map-Scout

Dynamisch generierte E-Mail-Adressen habe ich Anfang 2002 auf meinen Webseiten eingebaut, um etwas mehr Kenntnis über die Methoden der Adressensammler und Spam-Versender zu erhalten. Im Usenet in der Newsgroup de.admin.net-abuse.mail habe ich ab und zu darüber und die daraus gezogenen Erkenntnisse berichtet. Besonders große Resonanz hat das nie erzeugt, es waren halt lediglich ein paar nützliche Informationen.

Doch im Juli 2003 erhielt ich basierend auf diesen kleinen Informationen ein eindrucksvolles Lehrstück über die IT-Branche. Ich bekam vor Augen geführt, wie unüberlegt ein Unternehmen handeln und formulieren kann, wenn man es nur ein wenig kitzelt. Und ich erfuhr, daß ein als Aktiengesellschaft notiertes IT-Unternehmen, das Kompetenz und Sachverstand darstellen will, sich auch mal ganz anders präsentieren kann.

Dabei begann die Geschichte eigentlich ganz gewöhnlich: Es kam Spam bei mir an.

Ende Juni 2003 fiel mir in meinen E-Mails eine Häufung von Werbemails für ein Gewinnspiel auf. Es ging um das Unternehmen Teleinfo in Garbsen bei Hannover. Die Firma Teleinfo ist eine Aktiengesellschaft und im IT-Bereich u.a. im GIS- und Navigationsbereich tätig. Sie hatte auf ihren Webseiten eine neue Dienstleitung präsentiert, mit der Unternehmen individuelle Anfahrtskizzen in ihre Homepages einbinden konnten. Dieser neue Dienst mit dem Namen "Map-Scout" wurde von Teleinfo mit Hilfe eines Gewinnspiels beworben. Und genau für dieses Gewinnspiel warb die Spam-Mail.

Die Spam-Mails, die flächendeckend bei vielen Internet-Nutzern ankamen, waren so geschrieben, als hätte sie ein Teilnehmer dieses Gewinnspiels verfaßt. Denn bei diesen Gewinnspiel war eine Anforderung, daß man weitere Teilnehmer gewinnen sollte.

Bingo für die Urlaubskasse! Hallo, jeder will gewinnen. Und beim MapScout-Spiel kann das auch jeder - bis zu 9.350 Euro, bar auf die Hand. Ich bin dabei. Wie steht's mit Dir? Lade Dir einfach unter http://www.map-scout.de myMap den kostenlosen Link zur persönlichen Standortkarte runter und schick diese Mail möglichst oft weiter. Unter http://www.teleinfo.de findest Du auch Näheres zu Spiel und Teilnahme. Viel Spaß und noch mehr Glück! Mike Gewinnliste: MapScout Gewinner http://cms.teleinfo.de/gewinner.htm *** Bitte füge hier Deinen persönlichen myMap-Link ein, den Du per eMail bekommen hast. *** myMap: http://www.map-scout.de/myMap.asp?G= 4EDF064E6FD1427291 872416970472B4&S=0

In der Newsgroup de.admin.net-abuse.mail diskutierte ich über diese Spam-Mail, die offensichtlich massenhaft versendet worden war. Ich habe diese Mail unter mehreren Tausend Empfängeradressen erhalten, was dafür spricht, daß über mehrere Tage hinweg sämtliche meiner zahlreichen Webseiten abgegrast wurden und die dort dynamisch generierten E-Mail-Adressen Basis für diese Spam-Aussendung waren.

Aufgrund der Struktur der E-Mail-Adressen konnte ich herausfinden, daß der Harvester, der die Adressen eingesammelt hatte, unter einer IP-Adresse von Teleinfo gelaufen ist. Die E-Mail-Adressen stammten also aus einer Adreßsammlung seitens der Firma Teleinfo.

Gleichzeitig wurde ich auch auf die Darstellungen anderer Nutzer aufmerksam. Mehrere Personen berichteten darüber, daß sie sich bei Teleinfo über die Spam-Mails beschwert hätten. Teleinfo habe dabei seine Hände in Unschuld gewaschen und darauf verwiesen, daß diese Mails von einem Teilnehmer des Gewinnspiels kämen, worauf das Unternehmen Teleinfo keinen Einfluß habe. Aber Teleinfo habe sich sehr kooperativ gezeigt und zugesichert, den betreffenden Teilnehmer, der durch den persönlichen Link eindeutig identifiziert sei, von der weiteren Teilnahme am Map-Scout-Spiel auszuschließen.

Aufgrund meiner Erkenntnisse entpuppte sich die angebliche Kooperation seitens der Firma Teleinfo aber als dreiste Lüge. Tatsächlich steckte die Firma Teleinfo selbst hinter den Werbemails! Es lag klar auf der Hand: Sie selbst wollte mit den E-Mails angeblicher Spielteilnehmer ihren Stadtplan und Wegweiser "Map-Scout" bekannt machen und die Adressen potentieller Kunden sammeln.

So, wie sich Anbieter halbseidener 0190er-Dienste hinter Weiter- und Untervermietungen verstecken, so versteckte sich also das IT-Unternehmen Teleinfo hinter angeblichen Gewinnspielteilnehmern. Teleinfo hatte also die Beschwerden über Spam mit einer dreisten Lüge von sich gewiesen und durch das Vortäuschen einer kooperativen Zusammenarbeit bei der Spam-Bekämpfung abgewiegelt. Nachdem ich öffentlich darauf aufmerksam machte, wurde dies auch von anderen Webmastern bestätigt, die in ihren Logfiles systematische Seitenabrufe von derselben IP-Adresse des Unternehmens Teleinfo gefunden hatten.

Dieses löste natürlich unter den Diskussionsteilnehmern einige Empörung aus und es gingen nun Beschwerden nicht mehr an Teleinfo, sondern an deren Provider. Man entsann sich auch, daß Teleinfo durchaus als Datensammler bekannt war. So hatte Teleinfo vor etlichen Jahren flächendeckend in Deutschland mit Kamerafahrzeugen sämtliche Häuserfronten abphotographieren und daraus eine Datenbank aufbauen lassen.

Eigentlich hätte die Geschichte an dieser Stelle zu Ende sein können. Es gab ein paar Leute in einer Newsgroup, die sich wegen Spam über eine Firma aufregten. Und es wurden von einigen Teilnehmern Beschwerden an den Provider dieser Firma geschrieben. Die betreffende Firma, Teleinfo, hätte sich bei ihrem Provider entschuldigen und Besserung geloben können. Vielleicht wäre sie von jemandem auf Unterlassung verklagt worden, das hätte dann ein paar Euro gekostet. Im übrigen hätte sie das Thema einfach aussitzen können und nach einigen Wochen hätte sich kaum jemand noch dafür interessiert.

[...] Hiermit möchten wie sie vorab über einen dringlichen Misstand bei der Behandlung von Daten bei dem Betrieb Ihres Internetauftritts informieren. Offensichtlich werden bei ihnen sogenannte "Daten der am Fernmeldeverkehr Beteiligten" gespeichert, verarbeitet und sogar an Dritte oder an die Öffentlichkeit übermittelt. Sie werfen uns nebulös eine Verwicklung in sogenannten Spam vor und scheuen dabei nicht vor Gesetzesüberschreitungen zurück. [...] vor und während der Verbreitung unserer Daten durch sie sind sehr seltsame Aktionen abgelaufen und sehr nachteilige Folgen für uns eingetreten. [...] Wir bitten um die Benennung ihres gesetzlich bestellten Datenschutzbeauftragten und wo und wann wir Ihr Datenschutzregister einsehen können. Seit der Veröffentlichung unserer Daten durch sie werden mit unseren Kommunikationsdaten sehr schädliche Vorgänge in Verbindung gebracht. Deshalb fordern wir Sie auf, unverzüglich alle Maßnahmen zu ergreifen, die nachteilige Folgen von uns abwenden können. [...]

Doch Teleinfo reagierte ganz anders: Anfang Juli 2003 erhielt ich von Teleinfo per Fax und als Einschreibebrief ein Schreiben, das auf meine öffentlichen Äußerungen Bezug nahm. Wesentliche Auszüge daraus habe ich in dem Kasten rechts wiedergegeben, wobei ich mich bemüht habe, die Groß- und Kleinschreibung von "Sie" und "Ihre" exakt wie im Original zu übernehmen.

Die an mich herangetragenen Forderungen können (sollen?) beim ersten Durchlesen aufgrund der darin verwendeten Rechtsbegriffe einen juristisch fundierten Eindruck erwecken. Eine genauere Betrachtung zeigt aber, daß einfach nur ein paar hübsch klingende Begriffe ohne Sinn aneinandergereiht wurden:

Ein Datenschutzregister wird von den meisten Landesdatenschutzgesetzen als ein behördliches Verzeichnis festgeschrieben, für Privatpersonen und Unternehmen gibt es diesen Begriff gar nicht. Des weiteren kann ich auch niemanden gesetzlich bestellen.

Meine öffentliche Darlegung, daß Spam an Adressen geschickt wurde, die ein Harvester von Teleinfo eingesammelt hat, wurde im Usenet von mehreren Personen bestätigt. Es sprechen also alle Indizien dafür, daß der Spam von Teleinfo selbst oder von einer durch Teleinfo beauftragten Person versendet wurde. Dies als "nebulösen Vorwurf" und die Tat als "Verwicklung in sogenannten Spam" zu bezeichnen, geht an der Wirklichkeit deutlich vorbei.

Die Forderung, daß ich Maßnahmen ergreifen soll, die nachteilige Folgen abwenden sollen von jemandem, der beim Versenden von Spam erwischt worden ist, kann wohl auch nur als Jux betrachtet werden.

Vielleicht beobachte ich demnächst jemanden beim Klauen und werde dann, nachdem ich dies der Polizei angezeigt habe, von ihm beschuldigt, seinen Datenschutz verletzt zu haben und aufgefordert, alle Maßnahmen zu ergreifen, damit er von negativen Folgen verschont bleibt.

Für mich war dieser Brief ein deutliches Signal, daß die Firma Teleinfo glaubt, durch ein halbwegs juristisch klingendes Schreiben den durchschnittlichen Internet-Nutzer einschüchtern zu können.

Die Sachlage stellte sich demzufolge für mich wie folgt dar: Teleinfo war durch mich öffentlich (wobei eine Diskussionsgruppe im Usenet nur eine recht eingeschränkte Öffentlichkeit darstellt) als verlogener Spam-Versender enttarnt worden und versuchte nun, durch ein anklagendes Schreiben weitere Äußerungen von mir zu unterbinden, mich quasi mundtod zu machen.

Meine Pressemitteilung: Dateiformat PDF (Acrobat) Dateiformat Microsoft Word Dateiformat RTF (Rich Text) Berichterstattung bei heise.de: 08. Juli 2003: Erster Bericht 10. Juli 2003: Teleinfo-Reaktion

So plump einschüchtern lasse ich mich natürlich nicht! Statt dessen fand ich, daß diese Angelegenheit nach einer weit breiteren Öffentlichkeit schreit als bisher davon Kenntnis hatten. Also setzte ich mich an den Schreibtisch und verfasste eine Pressemitteilung über die Gepflogenheiten bei dem IT-Dienstleister Teleinfo, die ich an diverse Redaktionen schickte.

Der Verlag Heinz Heise, u.a. Herausgeber des renomierten Fachmagazins c't, interessierte sich als erster für den Fall. Am 08. Juli 2003 war im Online-Newsticker auf heise.de ein entsprechender Artikel zu lesen.

Im Diskussionsforum, das der Verlag Heise grundsätzlich zu jeder veröffentlichten Nachricht bereitstellt, überschlugen sich die Beiträge. Auch die Abrufstatistik meiner Homepage sprang in die Höhe und per E-Mail bekam ich zahlreiche Zusendungen mit Nachfragen sowie Lob und Unterstützung.

Aus der Teleinfo-Pressemitteilung: [...] Wir möchten nun mit einem Beitrag etwas mehr Realität in die Publicity-Show um das erfolgreiche Map-Scout Gewinnspiel der Tele-Info AG bringen. Wir werden das in einem aufgelockerten Stil halten, damit es nicht so "staiff" (Hannoveraner spitzer Stein) wird. [...] Heise hat "Spamming" als dauerhaftes Generalthema erkoren. Das ist gut und richtig und wird sicherlich der Auflagenerhöhung für die nächsten 12 Monate dienlich sein. [...] Uns ist aufgefallen, daß Heise Online auch sonst nicht immer sensibel berichtet. Es soll in den USA offiziell untersucht werden, was Heise Online mit dem Titel: "Congratulations to the murders of Sep. 11, 2001" gemeint hat. Es ist nicht immer leicht zu verstehen, dass auch bekannte Presseorgane an die niedrigen Instinkte appellieren. [...] Rehbein ist in Sachen lockerer Datenschutz kein unbeschriebenes Blatt. Er betreibt dem Anschein nach eine site, auf der eine Vielzahl von eMail Adressen verzeichnet sind. Er will sogenannte "Spamtraps" installiert haben. Wir wären froh, wenn dies wirklich einen Beweiswert hätte. Grundsätzlich sind Internet Vorgänge wie Seitenabrufe, eMails etc. Datenpakete, deren Inhalt und Kennzeichen mehr oder weniger frei gestaltbar sind. IPs, eMail header, Inhalt, alles kann nicht den Anspruch eines echten Dokumentes beanspruchen. Absender, Transporteure und Empfänger können diese Daten ändern. [...] Herr Rehbein hat eindeutig "Daten der am Fernmeldeverkehr Beteiligten" veröffentlicht. Zeit, Dauer, aufgesuchte Seiten, den Client (den wollte er zumindest bekanntgeben), IP und dazu unseren Namen veröffentlicht. Das ist im Vergleich so, als wenn jemand die Anrufdaten eines Telefonanschlusses bekannt gibt. Oder der Postbote gibt bekannt, dass er eine Postkarte von X an Y gelesen habe. Egal, wie man zu diesem Thema steht, die Vertraulichkeit von Kommunikation muss erhalten bleiben. Nicht ohne Grund sind solche Datenermittlungen nur mit richterlicher Erlaubnis möglich. Einschlägig sind hier §85 Fernmeldegeheimnis, §89 Datenschutz des TKG, Telekommunikationsgesetz. Das TKG regelt auch gleich die Ansprüche gegen Verstöße dieses Gesetzes: §40, "Anspruch auf Schadenersatz und Unterlassung". [...] Noch ein Wort zum Bundesdatenschutzgesetz: Um das BDSG überhaupt greifen zu lassen, muss es sich um personenbezogene Daten handeln. Das erfordert zwei Merkmale. Z.B. Manfred Mustermann hat ein Auto. Dies ist insbesondere bei einer eMail Adresse abc.yxz@provider.xx nicht und schon gar nicht bei einer anonymisierten Adresse phantasie@provider.xx überhaupt erfüllt. Anders sieht das bei Herrn Rehbein aus: Wer hat wann, wie lange am Bildschirm gesessen und was gesucht? [...] Internet-Diskussionen sind sehr öffentlich. Was ist, wenn eine zuständige Behörde sich auf Grund dieser Debatte mit öffentlichem Interesse des Themas §206 "Verletzung des Fernmeldegeheimnisses" annimmt? Ist Heise dann auch noch auf Seiten des "Anti-Spam-Aktivisten"? Und noch ein Wort zum Anlass: Es wird in den Newsgroups nicht beklagt, dass etwa gewaltverherrlichende, zum Rassenhass aufrufende, pornografische oder medizinische Hilfen anbietende eMails versendet werden. Wir haben nur freundliche Hinweise auf unser Gewinnspiel in den eMails gesehen. Wir bekommen auch leider täglich viele unerbetene eMails, leider auch viel Unsinn. Die drücken wir dann aber einfach weg....... [...] Wir sind auch an Ihrer Meinung interessiert, wie wir mit Herrn Rehbein und heise.de weiter verfahren sollen. Schicken Sie uns bitte Ihre Meinung an meinung@teleinfo.de [...]

Die Berichterstattung bei heise.de veranlasste nun offensichtlich Teleinfo zu hektischer und unüberlegter Reaktion. In einer öffentlichen Pressemitteilung auf den Webseiten von Teleinfo setzte das Unternehmen zu einem konfusen Rundumschlag gegen diverse Punkte beim Heise-Verlag und mich an.

Die für eine Beurteilung der Angelegenheit notwendige Teile der Pressemitteilung von Teleinfo habe ich in dem Kasten rechts wiedergegeben.

Es mutet schon ziemlich seltsam an, daß ein IT-Unternehmen verkündet, eine Pressemitteilung "in lockere Form" zu schreiben; vor allen, wo es um handfeste Vorwürfe gegen das Unternehmen geht, die zu entkräften wären.

Es wird in dem Text dann auch nicht sachlich argumentiert, sondern es wird gegen den Heise-Verlag geschossen, wobei Tatsachen neu zusammengewürfelt und verdreht werden. Der Heise-Verlag hat keinen Titel "Congratulations to the murders of Sep. 11, 2001". Tatsächlich gab es diese Äußerung einmal in einem deutlich als Satire gekennzeichneten Beitrag eines Online-Forums bei Heise, das sich mit der Verschärfung der staatlichen Überwachung beschäftigt. Was dies mit dem Spam-Versand seitens Teleinfo zu tun haben soll, bleibt völlig im Dunkeln.

Teleinfo behauptet, ich sei in Punkto lockerer Datenschutz bekannt, führt dann als Beleg aber lediglich die Tatsache an, daß ich auf meinen Webseiten fiktive E-Mail-Adressen eingebaut habe. E-Mail-Adressen, die keinen fremden Personen gehören, sondern mir! Daß diese Adressen mir gehören, muß Teleinfo erkannt haben, sonst würde der Begriff "Spamtraps" keinen Sinn machen.

Was meine eigenen E-Mail-Adressen aber mit meinem angeblich zu lockerem Verständnis für Datenschutz zu tun haben, wird nicht erklärt. Ich ziehe daraus die Schlußfolgerung, daß logisches Denken nicht zu den Qualifikationen in einem modernen IT-Unternehmens gehört.

Des weiteren offenbarte mir diese Pressemitteilung, daß die Mitarbeiter bei Teleinfo wenig technisches Verständnis haben. Anders kann ich es mir jedenfalls nicht nicht erklären, daß Teleinfo ernsthaft die Möglichkeit darlegt, die halbe Welt könne sich gegen das Unternehmen verschworen und die IP-Kommunikation verfälscht haben. Würde ein Harvester seine IP-Adresse fälschen oder die IP-Adresse beim Datentransport durch andere Beteiligte verfälscht, so würden die Webseiten nie beim Harvester ankommen. Der Harvester würde also gar nicht an die E-Mail-Adressen drankommen, die auf den Seiten stehen.

Prinzipiell möglich wäre allerdings, daß jemand anders sich Zugang zum Rechner von Teleinfo verschafft hat, um dann von dort aus per Harvester die E-Mail-Adressen einzusammeln. Würde Teleinfo in diese Richtung argumentieren, so würden sie damit allerdings offen zugeben, daß sie ihre Infrastruktur nicht im Griff haben, daß sie vorsätzlich oder fahrlässig ihr Unternehmensnetzwerk ungeschützt zugänglich gemacht haben. Zudem wäre dann seltsam, daß an die von einer fremden Person eingesammelten Adressen ausgerechnet Werbung für Teleinfo verschickt worden ist. Des weiteren haben Teleinfo-Mitarbeiter von dem betreffenden Rechner aus (identifizierbar über die IP-Adresse) Beiträge in Usenet-Foren geschrieben. Teleinfo hat also die Kontrolle über den betreffenden Rechner.

Offensichtlich aber hat Teleinfo noch nicht einmal die konkrete Sachlage richtig verstanden. Ich habe keine E-Mails veröffentlicht, die mir zum Transport an Dritte übergeben worden wären (so wie einem Briefträger Postkarten anvertraut werden). Ich war der Empfänger der Spam-Mails und ich habe Informationen über die von mir selbst empfangenen Mails veröffentlicht. So wie Teleinfo unverlangt zugeschickte Werbung als vertrauliche Kommunikation behandelt wissen will, könnte auch ein Bankräuber klagen, daß sein Bankraub eine vertrauliche Angelegenheit sei.

Während Teleinfo mir vorwirft, durch die meine Veröffentlichungen über die Spam-Mails von Teleinfo und die IP-Adresse des Harvesters das Datenschutzrecht verletzt zu haben, argumentiert Teleinfo nun, daß die Speicherung von personenbezogenen E-Mail-Adressen (wie Harvester es tun) datenschutzrechtlich völlig unbedenklich sei.

Doch mir, Daniel Rehbein, wird sogar unterstellt, ich hätte erforscht, wer wie lange am Bildschirm gesessen hat und was der jeweilige Mitarbeiter dabei gesucht habe. Jeder, der von IT und vom Internet wenigstens ein bißchen Ahnung hat, muß wissen, daß so eine Behauptung Unsinn ist. Wie soll ich herausfinden, wer wie lange vor dem Bildschirm sitzt? Dies kann man schon in einem lokalen Netzwerk nicht ermitteln, wie soll das dann erst über das Internet funktionieren? Und woher soll ich wissen, was jemand sucht, der auf meinen Seiten (oder ganz anderswo?) herumklickt? Tatsächlich habe ich festgestellt, daß ich Spam an bestimmte E-Mail-Adressen erhalten habe, aus denen ich zurückschließen konnte auf den Zeitpunkt und die IP-Adresse des Harvesters, der die Adressen eingesammelt hat.

Doch die Interpretation dieser Tatsache auf Basis völligen technischen Unverständnisses führt zu der Behauptung, ich hätte ein Offizialdelikt begangen, gegen das jederzeit von Amts wegen Ermittlungen eingeleitet werden könnten.

Zum Abschluß verfällt Teleinfo dann noch auf die Argumentation "Unser Spam ist doch nicht so schlimm. Wir sind doch die Guten". Was soll das? Ist diese Äußerung ein verstecktes Eingeständnis, Spam versendet zu haben und dabei geglaubt zu haben, es sei schon nicht so schlimm? Wobei anzumerken ist, daß die Aussage, gewaltverherrlichende und pornographische Mails würden stillschweigend ignoriert, als solches schon nicht stimmt. Gegen die Urheber gewaltverherrlichende und rassistische Spam-Mails wird von vielen Personen generell Strafanzeige erstattet.

Insgesamt ziehe ich persönlich aus dieser Pressemitteilung die Schlußfolgerung, daß ich die Teleinfo Aktiengesellschaft nicht nur als Versender von Spam enttarnt, sondern sie darüberhinaus auch noch veranlaßt habe, sich öffentlich als technisch ahnungslos darzustellen. Es ist schon bemerkenswert, was das Analysieren von Spam für Folgen auslösen kann. Dabei ging es zu Anfang lediglich um Spam-Mails für ein Gewinnspiel, über die ich öffentlich diskutiert habe.